K8S secret

最新推荐文章于 2023-10-24 23:33:27 发布
最新推荐文章于 2023-10-24 23:33:27 发布
阅读量486 收藏
点赞数
文章标签: k8s
原文链接:https://kubernetes.io/zh/docs/concepts/configuration/secret/
版权

Secret定义

Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 Secret。

要使用 Secret,Pod 需要引用 Secret。 Pod 可以用三种方式之一来使用 Secret:

Secret 对象的名称必须是合法的 DNS 子域名。 在为创建 Secret 编写配置文件时,你可以设置 data 与/或 stringData 字段。 data 和 stringData 字段都是可选的。data 字段中所有键值都必须是 base64 编码的字符串。如果不希望执行这种 base64 字符串的转换操作,你可以选择设置 stringData 字段,其中可以使用任何字符串作为其取值。

Secret类型

Secret主要有三种类型

Service Account: 用来访问K8s API,由K8S自动创建,并且挂载到Pod的/run/secret/kubernetes.io/serviceaccount目录中

Opaque: base64编码格式的Secret,用来存储密码,密钥等

kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息

Service Accout

Service Account用来访问Kubernetes API,自动创建并挂载在Pod的/run/secrets/kubernetes.io/serviceaccount目录中

Opaque Secret

echo -n "admin" | base64

echo -n "password" | base64

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  password: cGFzc3dvcmQ=
  username: YWRtaW4=

将secret挂载到Pod Volume中

apiVersion: v1
kind: Pod
metadata:
  labels:
    name: nginx
  name: nginx
spec:
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
  containers:
  - image: nginx
    name: nginx
    volumeMounts:
    - name: secrets
      mountPath: "/etc/secrets"
      readOnly: true
    ports:
    - name: cp
      containerPort: 5432
      hostPort: 5432

将secret导出到环境变量中

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: wordpress-deployment
spec:
  replicas: 2
  strategy:
      type: RollingUpdate
  template:
    metadata:
      labels:
        app: wordpress
        visualize: "true"
    spec:
      containers:
      - name: "wordpress"
        image: "wordpress"
        ports:
        - containerPort: 80
        env:
        - name: WORDPRESS_DB_USER
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: username
        - name: WORDPRESS_DB_PASSWORD
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: password

dockerconfigjson

可以直接用kubectl来创建用于docker registry认证的secret

kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL

创建pod的时候,通过imagePullSecrets来引用刚创建的secret

apiVersion: v1
kind: Pod
metadata:
  name: foo
spec:
  containers:
    - name: foo
      image: janedoe/awesomeapp:v1
  imagePullSecrets:
    - name: myregistrykey

上面的命令会创建一个类型为kubernetes.io/dockerconfigjson的Secret,如果你对data字段中的.dockerconfigjson内容进行转储,会得到下面的JSON内容,就是一个合法的配置文件

MiddenEurope
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8SSecret
huangbaokang的博客
11-24 296
在linux中,我们可以对字符进行base64加密 echo -n "admin" | base64 我们准备secret.yaml文件 apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: YWRtaW4= password: MWYyZDFlMmU2N2Rm 我们起名叫mysecret 创建pod kubectl create -f secret.yaml 进行查看 se
Kubernetes Tutorials | k8s 教程
11-21
k8s完整教程讲解: 在学习本教程前,需要注意本教程侧重于实战引导,以渐进式修改代码的方式,将从最基础的 container 容器的定义开始,经过 `pod`, `deployment`, `service`, `ingress`, `configmap`, `secret` 等资源直到用 `helm` 来打包部署一套完整服务。所以如果你对容器和 k8s 的基础理论知识不甚了解的话,建议先从 [官网文档](https://kubernetes.io/zh-cn/docs/home/) 或者其它教程获取基础理论知识,再通过实战加深对知识的掌握!
k8s培训视频.zip
05-09
目录网盘文件永久链接 01-Devops核心要点及kubernetes架构概述 02-kubernetes基础概念 03-kubeadm初始化Kubernetes集群 04-kubernetes应用快速入门 05-kubernetes资源清单定义入门 06-Kubernetes Pod控制器应用进阶 07-Kubernetes Pod控制器应用进阶 08-Kubernetes Pod控制器 09-Kubernetes Pod控制器 10-kubernetes Service资源 11-kubernetes ingress及Ingress Controller 12-存储卷 13-kubernetes pv、pvc、configmap和secret 14-kubernetes statefulset控制器 15-kubernetes认证及serviceaccount 16-kubernetes RBAC 17-kubernetes dashboard认证及分级授权 18-配置网络插件flannel 19-基于canel的网络策略 20-调度器、预选策略及优选函数 ...
Kubernetes(k8s)面试题.pdf
05-10
Kubernetes(k8s)是一个流行的容器编排系统,用于自动化应用程序容器的部署、扩展和管理。以下是与k8s相关的60个面试题,覆盖了从基础知识到高级用法。 ### 基础知识(1-20) 1. Kubernetes是什么? 2. 为什么需要Kubernetes? 3. 描述Kubernetes的架构。 4. Kubernetes 集群中的主要组件有哪些? 5. Kubernetes Node上包含哪些组件? 6. 描述Pod是什么以及其用途。 7. 解释在Kubernetes中服务发现是如何工作的。 8. 描述Kubernetes中的Deployment和它的用途。 9. Kubernetes中的Service是做什么用的? 10. 什么是Kubernetes中的Label和Selector? 11. 描述Kubernetes的命名空间(Namespace)。 12. ConfigMap和Secret在Kubernetes中的作用是什么? 13. 什么是Kubernetes的Volume? 14. Kubectl常用的命令有哪些? 15. 解释什么是Kubernetes的Sta
vault-k8s-secret-engine
03-30
Vault K8s动态服务帐户 该项目包含插件的源代码,该插件为短暂的服务帐户提供按需(动态)凭据。 如果凭据泄漏或滥用,这可以使爆炸半径保持相对较小。 注意:此插件仍在积极开发中 内容 建筑概貌 这个插件是围绕秘密引擎的实例化和Kubernetes集群之间的1:1映射设计的。 这种方法使我们能够简化插件的使用和配置,同时仍然针对为Kubernetes提供动态和短期证书的主要用例。 重点是管理员和最终用户的易用性,并且限制配置的复杂性是一个容易的选择。 生成动态证书时,插件遵循以下流程。 当客户端请求凭证时,保管库将在后端的Kubernetes集群中创建一个新的服务帐户,并为它配置特定的角色,以便它具有所需的访问权限。 用户将以javasript Web令牌和证书的形式获得从保管库返回的凭据,该证书可用于直接向Kubernetes集群进行身份验证。 Vault具有一个内部计时器
Kubernetes学习笔记-ConfigMap和Secret:配置应用程序(3)20220503
wwxsoft的专栏
05-05 269
使用Secret给容器传递敏感数据 1、secret 配置通常会包含一些敏感数据,如证书、私钥,需要确保其安全性,为了存储与分发此类信息,Kubernetes提供了一种称为Secret的单独资源对象。Secret与ConfigMap类似,均是键/值对的映射。Secret的使用方法也与ConfigMap相同,可以: (1)将Secret条目作为环境变了传递给容器 (2)将Secret条目暴露为卷中的文件 Kubernetes通过仅仅将Secret分发到需要访问的Secret的pod所在的机器节点来保
k8sk8s存储配置之Secret
sl963216757的博客
07-11 1183
一、Secret 01_Secret简介 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 将这些信息放在 secret 中比放在 Pod 的定义或者 容器镜像 中来说更加安全和灵活。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 Secret。 Kubernetes Secret 默认情况下存储为 base64-编码的、非加密的字符串。 默认情况下,能够访问 API 的任何人,或者能够访问 Kubernetes 下层数据存储(etcd
secret资源简介和应用
soliso
01-04 708
secret资源简介和应用
k8sSecret(密文)和configmap(明文)的使用
很多时候犯错都是在不知情的情况下发生的
08-13 4854
执行一下。
k8s敏感数据存储:Secret
Sebastien23的博客
11-05 1298
此外,任何有权限在命名空间中创建Pod的人都可以读取该命名空间中的任何Secret,包括间接访问,例如创建Deployment。默认情况下,所引用的Secret都是必需的。如果Pod引用了Secret中的特定主键,而虽然Secret本身存在,对应的主键不存在,Pod启动也会失败。字段来填充环境变量的Secret而言,如果其中包含的Key不能被当做合法的环境变量名,这些主键会被忽略掉。当卷中包含来自Secret的数据,而对应的Secret被更新,Kubernetes会跟踪到这一操作并更新卷中的数据。
【云原生 | Kubernetes 系列】K8s 实战 管理 Secret 详解
半身风雪
08-25 1957
Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 Secret。
k8s课件k8s课件k8s课件k8s课件
02-15
k8s基础知识点 本节将对k8s的基本概念、监控与日志、应用程序生命周期管理、调度、存储、集群安全等方面进行详细的解释,旨在帮助读者深入了解k8s的各个方面。 k8s基础概念 k8s是一种容器集群管理系统,由Google...
K8S使用现有证书配置HTTPS.doc
08-18
K8S 中,证书可以通过创建 secret 来导入。使用以下命令可以创建一个名为 example-secret 的 secret: `kubectl create secret tls example-secret --key cert/xxx.key --cert cert/xxx.pem -n NAMESPACE` 其中...
《Kubernetes知识篇:配置管理中心Secret》
东城绝神
10-29 448
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
创建Secret(手动)
linus.lin的博客
10-24 371
假设您要保存假设您要保存和YWRtaW4=metadata:data:执行命令此时 Secret 创建成功有时,您并不想先将用户名和密码转换为 base64 编码之后再创建 Secret,则,您可以通过定义 stringData 来达成,此时 stringData 中的取值部分将被 apiserver 自动进行 base64 编码之后再保存。
Kubernetes Secret
程序圆圆圆
05-07 572
base64 命令 Kubernetes 的 Secret 是使用 base64 进行编码的。以下是使用命令 base64 对字符串进行编码和解码的过程。 将字符串编码为 base64 格式。echo 的 -n 选项的用处是不在字符串后添加换行符 echo -n "hello" | base64 结果为 aGVsbG8= 将 base64 解码为字符串 echo -n "aGVsbG8...
Kubernetes之secrets使用
Harry的博客
10-11 3767
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 ​
C#使用MJpeg实现视频流发送与显示
最新发布
06-22
实现截屏并将截图使用Mjpeg流形式发送出去,以及实现客户端显示Mjpeg流的数据
k8s secret 证书
05-13
Kubernetes Secret 是一个用来存储敏感数据的 Kubernetes 对象,包括 API 密钥、密码、 OAuth 令牌和 TLS 证书等。要创建一个 TLS 证书的 Secret,可以执行以下步骤: 1. 创建一个包含证书和私钥的 PEM 文件。可以通过 OpenSSL 等工具生成这个文件。 2. 将 PEM 文件的内容放入 Kubernetes Secret 中。可以使用 `kubectl create secret tls` 命令创建 Secret,如下所示: ``` kubectl create secret tls <secret-name> --cert=<path-to-cert-file> --key=<path-to-key-file> ``` 也可以将 PEM 文件的内容以 base64 编码的形式放入 Secret 中,如下所示: ``` kubectl create secret tls <secret-name> --cert=<path-to-cert-file> --key=<path-to-key-file> --dry-run=client -o yaml | kubectl apply -f - ``` 其中 `--dry-run=client -o yaml` 选项会将 Secret 的 YAML 配置输出到标准输出,`| kubectl apply -f -` 会将 YAML 配置应用到 Kubernetes 集群中。 3. 在需要使用证书的 Kubernetes 对象(如 Ingress、Service 等)的 YAML 配置中,将 Secret 的名称和证书密钥的名称指定为 TLS 配置的一部分,如下所示: ``` apiVersion: extensions/v1beta1 kind: Ingress metadata: name: my-ingress annotations: nginx.ingress.kubernetes.io/ssl-cert: <secret-name> spec: tls: - hosts: - example.com secretName: <secret-name> ... ``` 在这个例子中,`nginx.ingress.kubernetes.io/ssl-cert` 注解指定了使用哪个 Secret,`tls.secretName` 指定了 Secret 的名称。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值